Créez, mettez à jour et gérez des banques de données d'événements à l'aide du AWS CLI - AWS CloudTrail

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez, mettez à jour et gérez des banques de données d'événements à l'aide du AWS CLI

Vous pouvez utiliser le AWS CLI pour créer, mettre à jour et gérer vos magasins de données d'événements. Lorsque vous utilisez le AWS CLI, n'oubliez pas que vos commandes s'exécutent dans la Région AWS configuration adaptée à votre profil. Si vous souhaitez exécuter les commandes dans une autre région, modifiez la région par défaut pour votre profil, ou utilisez le paramètre --region avec la commande.

Commandes disponibles pour les magasins de données d'événements

Les commandes permettant de créer et de mettre à jour des banques de données d'événements dans CloudTrail Lake incluent :

  • create-event-data-storepour créer un magasin de données d'événements.

  • get-event-data-storepour renvoyer des informations sur le magasin de données d'événements, y compris les sélecteurs d'événements avancés configurés pour le magasin de données d'événements.

  • update-event-data-storepour modifier la configuration d'un magasin de données d'événements existant.

  • list-event-data-storespour répertorier les magasins de données d'événements.

  • delete-event-data-storepour supprimer un magasin de données d'événements.

  • restore-event-data-storepour restaurer une banque de données d'événements en attente de suppression.

  • start-importpour démarrer une importation d'événements de suivi vers une banque de données d'événements ou pour réessayer une importation qui a échoué.

  • get-importpour renvoyer des informations relatives à une importation spécifique.

  • stop-importpour arrêter l'importation d'événements de randonnée dans un magasin de données d'événements.

  • list-importspour renvoyer des informations sur toutes les importations, ou sur un ensemble sélectionné d'importations effectuées par ImportStatus ouDestination.

  • list-import-failurespour répertorier les échecs d'importation pour l'importation spécifiée.

  • stop-event-data-store-ingestionpour arrêter l'ingestion d'événements dans un magasin de données d'événements.

  • start-event-data-store-ingestionpour relancer l'ingestion d'événements dans un magasin de données d'événements.

  • enable-federationpour activer la fédération sur un magasin de données d'événements afin d'interroger le magasin de données d'événements dans Amazon Athena.

  • disable-federationpour désactiver la fédération sur un magasin de données d'événements. Une fois la fédération désactivée, vous ne pouvez plus interroger les données du magasin de données d'événements dans Amazon Athena. Vous pouvez continuer à interroger dans CloudTrail Lake.

  • put-insight-selectorspour ajouter ou modifier des sélecteurs d'événements Insights pour un magasin de données d'événements existant, et pour activer ou désactiver les événements Insights.

  • get-insight-selectorspour renvoyer des informations sur les sélecteurs d'événements Insights configurés pour un magasin de données d'événements.

  • add-tagspour ajouter une ou plusieurs balises (paires clé-valeur) à un magasin de données d'événements existant.

  • remove-tagspour supprimer une ou plusieurs balises d'une banque de données d'événements.

  • list-tagspour renvoyer une liste de balises associées à un magasin de données d'événements.

Pour obtenir la liste des commandes disponibles pour les requêtes CloudTrail Lake, consultezCommandes disponibles pour les requêtes CloudTrail Lake.

Pour obtenir la liste des commandes disponibles pour les intégrations de CloudTrail Lake, consultezCommandes disponibles pour les intégrations de CloudTrail Lake.

Créez un magasin de données d'événements à l'aide du AWS CLI

Utilisez la commande create-event-data-store pour créer un magasin de données d’événement.

Lorsque vous créez un magasin de données d’événement, le seul paramètre requis est --name, qui est utilisé pour identifier le magasin de données d’événement. Vous pouvez configurer des paramètres facultatifs supplémentaires, notamment :

  • --advanced-event-selectors : Spécifie le type d’événements à inclure dans le magasin de données d’événement. Par défaut, les magasins de données d’événement journalisent tous les événements de gestion. Pour plus d'informations sur les sélecteurs d'événements avancés, consultez AdvancedEventSelectorla référence de l' CloudTrail API.

  • --kms-key-id- Spécifie l'ID de clé AWS KMS à utiliser pour chiffrer les événements transmis par CloudTrail. La valeur peut être un nom d’alias avec le préfixe alias/, un ARN complet d’un alias, un ARN complet d’une clé ou un identifiant unique à l’échelle mondiale.

  • --multi-region-enabled- Crée un magasin de données d'événements multirégional qui enregistre les événements pour tous les utilisateurs Régions AWS de votre compte. Par défaut, --multi-region-enabled est défini, même si le paramètre n’est pas ajouté.

  • --organization-enabled : Permet à un magasin de données d’événement de collecter des événements pour tous les comptes d’une organisation. Le magasin de données d’événement n’est pas activé par défaut pour tous les comptes d’une organisation .

  • --billing-mode : Détermine le coût d’ingestion et de stockage des événements, ainsi que la période de conservation par défaut et maximale pour le magasin de données d’événement.

    Les valeurs possibles sont les suivantes :

    • EXTENDABLE_RETENTION_PRICING : Ce mode de facturation est généralement recommandé si vous ingérez moins de 25 To de données d’événement par mois et souhaitez une période de conservation flexible allant jusqu’à 3 653 jours (environ 10 ans). La période de conservation par défaut pour ce mode de facturation est de 366 jours.

    • FIXED_RETENTION_PRICING : Ce mode de facturation est recommandé si vous prévoyez d’ingérer plus de 25 To de données d’événement par mois et que vous avez besoin d’une période de conservation allant jusqu’à 2 557 jours (environ 7 ans). La période de conservation par défaut pour ce mode de facturation est de 2 557 jours.

    La valeur par défaut est EXTENDABLE_RETENTION_PRICING.

  • --retention-period : Le nombre de jours pendant lesquels les événements doivent être conservés dans le magasin de données d’événement. Les valeurs valides sont des entiers compris entre 7 et 3 653 si le paramètre --billing-mode est défini sur EXTENDABLE_RETENTION_PRICING, ou entre 7 et 2 557 si le paramètre --billing-mode est défini sur FIXED_RETENTION_PRICING. Si vous ne le spécifiez pas--retention-period, CloudTrail utilise la période de conservation par défaut pour le--billing-mode.

  • --start-ingestion : Le paramètre --start-ingestion démarre l’ingestion d’événement sur le magasin de données d’événement lors de sa création. Ce paramètre est défini même s’il n’est pas ajouté.

    Spécifiez le paramètre --no-start-ingestion si vous ne souhaitez pas que le magasin de données d’événement ingère des événements en direct. Par exemple, vous souhaiterez peut-être définir ce paramètre si vous copiez des événements dans le magasin de données d’événement et que vous prévoyez de n’utiliser les données d’événement que pour analyser des événements passés. Le paramètre --no-start-ingestion n’est valide que lorsque le paramètre eventCategory est défini sur Management, Data ou ConfigurationItem.

Les exemples suivants montrent comment créer différents types de magasins de données d’événement.

Créez un magasin de données d'événements pour les événements de données S3 à l'aide du AWS CLI

La create-event-data-store commande example AWS Command Line Interface (AWS CLI) suivante crée un magasin de données d'événements nommé my-event-data-store qui sélectionne tous les événements de données Amazon S3 et est chiffré à l'aide d'une clé KMS.

aws cloudtrail create-event-data-store \ --name my-event-data-store \ --kms-key-id "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias" \ --advanced-event-selectors '[ { "Name": "Select all S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "resources.ARN", "StartsWith": ["arn:aws:s3"] } ] } ]'

Voici un exemple de réponse.

{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE", "Name": "my-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Select all S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "KmsKeyId": "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T22:19:39.417000-05:00", "UpdatedTimestamp": "2023-11-09T22:19:39.603000-05:00" }

Créez un magasin de données d'événements pour les éléments AWS Config de configuration à l'aide du AWS CLI

L'exemple de AWS CLI create-event-data-store commande suivant crée un magasin de données d'événements nommé config-items-eds qui sélectionne des éléments AWS Config de configuration. Pour collecter des éléments de configuration, spécifiez que le champ eventCategory est égal à ConfigurationItem dans les sélecteurs d’événements avancés.

aws cloudtrail create-event-data-store \ --name config-items-eds \ --advanced-event-selectors '[ { "Name": "Select AWS Config configuration items", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["ConfigurationItem"] } ] } ]'

Voici un exemple de réponse.

{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE", "Name": "config-items-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Select AWS Config configuration items", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "ConfigurationItem" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-07T19:03:24.277000+00:00", "UpdatedTimestamp": "2023-11-07T19:03:24.468000+00:00" }

Créez un magasin de données sur les événements d'organisation pour la gestion des événements à l'aide du AWS CLI

L'exemple de AWS CLI create-event-data-store commande suivant crée un magasin de données d'événements d'organisation qui collecte tous les événements de gestion et définit le --billing-mode paramètre surFIXED_RETENTION_PRICING.

aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled --billing-mode FIXED_RETENTION_PRICING

Voici un exemple de réponse.

{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207", "Name": "org-management-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": true, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00", "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00" }

Créez des banques de données d'événements pour les événements Insights à l'aide du AWS CLI

Pour enregistrer les événements Insights dans CloudTrail Lake, vous avez besoin d'un magasin de données d'événements de destination qui collecte les événements Insights et d'un magasin de données d'événements source qui active Insights et enregistre les événements de gestion.

Cette procédure explique comment créer les entrepôts de données d'événement de destination et d'origine, puis activer les événements Insights.

  1. Exécutez la commande aws cloudtrail create-event-data-store pour créer un entrepôt de données d'événement de destination qui collecte les événements Insights. La valeur pour eventCategory doit être Insight. Remplacez retention-period-dayspar le nombre de jours pendant lesquels vous souhaitez conserver les événements dans votre banque de données d'événements. Les valeurs valides sont des entiers compris entre 7 et 3 653 si le paramètre --billing-mode est défini sur EXTENDABLE_RETENTION_PRICING, ou entre 7 et 2 557 si le paramètre --billing-mode est défini sur FIXED_RETENTION_PRICING. Si vous ne le spécifiez pas--retention-period, CloudTrail utilise la période de conservation par défaut pour le--billing-mode.

    Si vous êtes connecté avec le compte de gestion d'une AWS Organizations organisation, incluez le --organization-enabled paramètre si vous souhaitez donner à votre administrateur délégué l'accès au magasin de données d'événements.

    aws cloudtrail create-event-data-store \ --name insights-event-data-store \ --no-multi-region-enabled \ --retention-period retention-period-days \ --advanced-event-selectors '[ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Insight"] } ] } ]'

    Voici un exemple de réponse.

    { "Name": "insights-event-data-store", "ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "AdvancedEventSelectors": [ { "Name": "Select Insights events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Insight" ] } ] } ], "MultiRegionEnabled": false, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": "90", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-05-08T15:22:33.578000+00:00", "UpdatedTimestamp": "2023-05-08T15:22:33.714000+00:00" }

    Vous utiliserez l'ARN (ou le suffixe d'ID de l'ARN) de la réponse comme valeur du paramètre --insights-destination à l'étape 3.

  2. Exécutez la commande aws cloudtrail create-event-data-store pour créer un entrepôt de données d'événement source qui journalise les événements de gestion. Par défaut, les entrepôts de données d'événement journalisent les événements de gestion et aucun événement de données. Il n'est pas nécessaire de spécifier les sélecteurs d'événements avancés si vous souhaitez journaliser tous les événements de gestion. Remplacez retention-period-dayspar le nombre de jours pendant lesquels vous souhaitez conserver les événements dans votre banque de données d'événements. Les valeurs valides sont des entiers compris entre 7 et 3 653 si le paramètre --billing-mode est défini sur EXTENDABLE_RETENTION_PRICING, ou entre 7 et 2 557 si le paramètre --billing-mode est défini sur FIXED_RETENTION_PRICING. Si vous ne le spécifiez pas--retention-period, CloudTrail utilise la période de conservation par défaut pour le--billing-mode. Si vous créez un magasin de données d’événement d’organisation, incluez le paramètre --organization-enabled.

    aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days

    Voici un exemple de réponse.

    { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "Name": "source-event-data-store", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 90, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-05-08T15:25:35.578000+00:00", "UpdatedTimestamp": "2023-05-08T15:25:35.714000+00:00" }

    Vous utiliserez l'ARN (ou le suffixe d'ID de l'ARN) de la réponse comme valeur du paramètre --event-data-store à l'étape 3.

  3. Exécutez la commande put-insight-selectors pour activer les événements Insights. Les valeurs du sélecteur Insights peuvent être ApiCallRateInsight, ApiErrorRateInsight, ou les deux. Pour le paramètre --event-data-store, spécifiez l'ARN (ou le suffixe d'ID de l'ARN) de l'entrepôt de données d'événement source qui journalise les événements de gestion et activera Insights. Pour le paramètre --insights-destination, spécifiez l'ARN (ou le suffixe d'ID de l'ARN) de l'entrepôt de données d'événement de destination qui journalisera les événements Insights.

    aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'

    Le résultat suivant montre le sélecteur d'événements Insights configuré pour l'entrepôt de données d'événement.

    { "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE", "InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE", "InsightSelectors": [ { "InsightType": "ApiErrorRateInsight" }, { "InsightType": "ApiCallRateInsight" } ] }

    Une fois que vous avez activé CloudTrail Insights pour la première fois dans un magasin de données d'événements, le lancement du premier événement Insights peut prendre jusqu' CloudTrail à 7 jours, si une activité inhabituelle est détectée.

    CloudTrail Insights analyse les événements de gestion qui se produisent dans une seule région, et non à l'échelle mondiale. Un événement CloudTrail Insights est généré dans la même région que les événements de gestion connexes.

    Dans le cas d'un magasin de données sur les événements d'une organisation, il CloudTrail analyse les événements de gestion du compte de chaque membre au lieu d'analyser l'agrégation de tous les événements de gestion de l'organisation.

Des frais supplémentaires s'appliquent pour l'ingestion d'événements Insights à CloudTrail Lake. Vous serez facturé séparément si vous activez Insights à la fois pour les journaux de suivi et les entrepôts de données d'événement. Pour plus d'informations sur la CloudTrail tarification, consultez la section AWS CloudTrail Tarification.

Importez les événements de suivi dans un magasin de données d'événements à l'aide du AWS CLI

Dans le AWS CLI, vous pouvez importer des événements de suivi dans un magasin de données d'événements. La procédure décrite dans cette section explique comment créer et configurer un magasin de données d’événement en exécutant la commande create-event-data-store, puis en important les événements dans ce magasin de données d’événement à l’aide de la commande start-import. Pour plus d’informations sur l’importation d’événements de journal de suivi, y compris des informations sur les considérations et les autorisations requises, consultez Copier des événements de journal de suivi dans un magasin de données d'événement.

Préparation à l’importation d’événements de journal de suivi

Avant d’importer des événements de journal de suivi, effectuez les préparations suivantes.

  • Assurez-vous que vous disposez d’un rôle doté des autorisations requises pour importer des événements de journal de suivi dans un magasin de données d’événement.

  • Déterminez la valeur --billing-mode que vous souhaitez spécifier pour le magasin de données d’événement. Le paramètre --billing-mode détermine le coût d’ingestion et de stockage des événements, ainsi que la période de conservation par défaut et maximale pour le magasin de données d’événement.

    Lorsque vous importez des événements de suivi dans CloudTrail Lake, CloudTrail décompressez les journaux stockés au format gzip (compressé). CloudTrail Copie ensuite les événements contenus dans les journaux dans votre banque de données d'événements. La taille des données non compressées peut être supérieure à la taille réelle du stockage Amazon S3. Pour obtenir une estimation générale de la taille des données non compressées, vous pouvez multiplier par 10 la taille des journaux du compartiment S3. Vous pouvez utiliser cette estimation pour choisir la valeur --billing-mode correspondant à votre cas d’utilisation.

  • Déterminez la valeur que vous souhaitez spécifier pour le paramètre --retention-period. CloudTrail ne copiera pas un événement s'il eventTime est antérieur à la période de conservation spécifiée.

    Pour déterminer la période de conservation appropriée, faites la somme de l’événement le plus ancien que vous souhaitez copier en jours et du nombre de jours pendant lesquels vous souhaitez conserver les événements dans le magasin de données d’événement, comme le montre l’équation suivante :

    Durée de conservation = oldest-event-in-days+ number-days-to-retain

    Par exemple, si l’événement le plus ancien que vous copiez date de 45 jours et que vous souhaitez conserver les événements dans le magasin de données d’événement pendant 45 jours supplémentaires, vous devez définir la période de conservation sur 90 jours.

  • Décidez si vous souhaitez utiliser le magasin de données d’événement pour analyser les événements futurs. Si vous ne souhaitez pas ingérer d’événements futurs, incluez le paramètre --no-start-ingestion lorsque vous créez le magasin de données d’événement. Par défaut, le magasin de données d’événement commence à ingérer les événements dès sa création.

Pour créer un magasin de données d’événement et importer des événements de journal de suivi dans celui-ci

  1. Exécutez la commande create-event-data-store pour créer le nouveau magasin de données d’événement. Dans cet exemple, le paramètre --retention-period est défini sur 120 parce que le plus ancien événement copié date de 90 jours et que nous voulons conserver les événements pendant 30 jours. Le paramètre --no-start-ingestion est défini, car nous ne voulons pas ingérer d’événements futurs. Dans cet exemple, le paramètre --billing-mode n’a pas été défini, car nous utilisons la valeur par défaut EXTENDABLE_RETENTION_PRICING car nous prévoyons d’ingérer moins de 25 To de données d’événement.

    Note

    Si vous créez le magasin de données d’événement pour remplacer votre journal de suivi, nous vous recommandons de configurer le paramètre --advanced-event-selectors pour qu’il corresponde aux sélecteurs d’événements de votre journal de suivi afin de vous assurer que vous bénéficiez de la même couverture d’événement. Par défaut, les magasins de données d’événement journalisent tous les événements de gestion.

    aws cloudtrail create-event-data-store --name import-trail-eds --retention-period 120 --no-start-ingestion

    Voici un exemple de réponse :

    { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9", "Name": "import-trail-eds", "Status": "CREATED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 120, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00", "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00" }

    La paramètre initial Status est CREATED nous allons donc lancer la commande get-event-data-store pour vérifier que l’ingestion est arrêtée.

    aws cloudtrail get-event-data-store --event-data-store eds-id

    La réponse indique que le paramètre Status est désormais STOPPED_INGESTION, ce qui indique que le magasin de données d’événement n’ingère pas les événements en direct.

    { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9", "Name": "import-trail-eds", "Status": "STOPPED_INGESTION", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 120, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00", "UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00" }
  2. Exécutez la commande start-import pour importer les événements du journal de suivi dans le magasin de données d’événement créé à l’étape 1. Spécifiez l’ARN (ou le suffixe d’ID de l’ARN) du magasin de données d’événement comme valeur du paramètre --destinations. Pour le paramètre --start-event-time, spécifiez eventTime pour l’événement le plus ancien que vous souhaitez copier et pour le paramètre --end-event-time, spécifiez eventTime pour l’événement le plus récent que vous souhaitez copier. Pour --import-source spécifier l'URI S3 du compartiment S3 contenant vos journaux de suivi, Région AWS celui du compartiment S3 et l'ARN du rôle utilisé pour importer les événements de suivi.

    aws cloudtrail start-import \ --destinations ["arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"] \ --start-event-time 2023-08-11T16:08:12.934000+00:00 \ --end-event-time 2023-11-09T17:08:20.705000+00:00 \ --import-source {"S3": {"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-612ff1f6/AWSLogs/123456789012/CloudTrail/","S3BucketRegion":"us-east-1","S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"}}

    Voici un exemple de réponse.

    { "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00", "Destinations": [ "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9" ], "EndEventTime": "2023-11-09T17:08:20.705000+00:00", "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3257fcd1", "ImportSource": { "S3": { "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds", "S3BucketRegion":"us-east-1", "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/" } }, "ImportStatus": "INITIALIZING", "StartEventTime": "2023-08-11T16:08:12.934000+00:00", "UpdatedTimestamp": "2023-11-09T17:08:20.806000+00:00" }
  3. Exécutez la commande get-import pour obtenir des informations sur l’importation.

    aws cloudtrail get-import --import-id import-id

    Voici un exemple de réponse.

    { "ImportId": "EXAMPLEe-7be2-4658-9204-b38c3EXAMPLE", "Destinations": [ "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9" ], "ImportSource": { "S3": { "S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/", "S3BucketRegion":"us-east-1", "S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds" } }, "StartEventTime": "2023-08-11T16:08:12.934000+00:00", "EndEventTime": "2023-11-09T17:08:20.705000+00:00", "ImportStatus": "COMPLETED", "CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00", "ImportStatistics": { "PrefixesFound": 1548, "PrefixesCompleted": 1548, "FilesCompleted": 92845, "EventsCompleted": 577249, "FailedEntries": 0 } }

    Une importation se termine par un paramètre ImportStatus défini sur COMPLETED s’il n’y a pas eu d’échec ou défini sur FAILED s’il y a eu des échecs.

    Si l’importation est définie sur FailedEntries, vous pouvez exécuter la commande list-import-failures pour renvoyer une liste des échecs.

    aws cloudtrail list-import-failures --import-id import-id

    Pour réessayer une importation qui a échoué, exécutez la commande start-import avec uniquement le paramètre --import-id. Lorsque vous réessayez une importation, elle CloudTrail reprend à l'endroit où l'échec s'est produit.

    aws cloudtrail start-import --import-id import-id

Bénéficiez d'une banque de données sur les événements grâce au AWS CLI

L'exemple de AWS CLI get-event-data-store commande suivant renvoie des informations sur le magasin de données d'événements spécifié par le --event-data-store paramètre requis, qui accepte un ARN ou le suffixe d'ID de l'ARN.

aws cloudtrail get-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Voici un exemple de réponse. Les heures de création et de dernière mise à jour sont au format timestamp.

{ "EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "s3-data-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Log DeleteObject API calls for a specific S3 bucket", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "eventName", "Equals": [ "DeleteObject" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET" ] }, { "Field": "readOnly", "Equals": [ "false" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "FIXED_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-11-09T22:20:36.344000+00:00", "UpdatedTimestamp": "2023-11-09T22:20:36.476000+00:00" }

Répertoriez tous les magasins de données d'événements dans un compte auprès du AWS CLI

L'exemple de AWS CLI list-event-data-stores commande suivant renvoie des informations sur tous les magasins de données d'événements d'un compte, dans la région actuelle. Les paramètres facultatifs incluent --max-results, pour spécifier un nombre maximal de résultats que la commande doit renvoyer sur une seule page. S'il y a plus de résultats que la valeur --max-results spécifiée, exécutez à nouveau la commande en ajoutant la valeur NextToken renvoyée pour obtenir la page suivante de résultats.

aws cloudtrail list-event-data-stores

Voici un exemple de réponse.

{ "EventDataStores": [ { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE7-cad6-4357-a84b-318f9868e969", "Name": "management-events-eds" }, { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-88e1-43b7-b066-9c046b4fd47a", "Name": "config-items-eds" }, { "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEf-b314-4c85-964e-3e43b1e8c3b4", "Name": "s3-data-events" } ] }

Mettez à jour un magasin de données d'événements avec AWS CLI

Les exemples suivants montrent comment mettre à jour un magasin de données d’événement.

Mettez à jour le mode de facturation avec AWS CLI

Le paramètre --billing-mode pour le magasin de données d’événement détermine le coût d’ingestion et de stockage des événements, ainsi que la période de conservation par défaut et maximale du magasin de données d’événement. Si la valeur d’un magasin de données d’événement --billing-mode est définie sur FIXED_RETENTION_PRICING, vous pouvez modifier la valeur sur EXTENDABLE_RETENTION_PRICING. EXTENDABLE_RETENTION_PRICING est généralement recommandé si votre magasin de données d’événement ingère moins de 25 To de données d’événement par mois et si vous souhaitez une période de conservation flexible allant jusqu’à 3 653 jours. Pour plus d’informations sur la tarification, consultez Tarification d’AWS CloudTrail et Gestion des coûts CloudTrail du lac.

Note

Vous ne pouvez pas remplacer la valeur --billing-mode EXTENDABLE_RETENTION_PRICING par FIXED_RETENTION_PRICING. Si le mode de facturation du magasin de données d’événement est défini sur EXTENDABLE_RETENTION_PRICING et que vous souhaitez utiliser FIXED_RETENTION_PRICING à la place, vous pouvez arrêter l’ingestion dans le magasin de données d’événement et créer un nouveau magasin de données d’événement qui utilise FIXED_RETENTION_PRICING.

Dans l'exemple de AWS CLI update-event-data-store commande suivant, la --billing-mode valeur du magasin de données d'événements passe de FIXED_RETENTION_PRICING àEXTENDABLE_RETENTION_PRICING. La valeur du paramètre --event-data-store requise est un ARN (ou l’ID de suffixe de l’ARN) et est obligatoire ; les autres paramètres sont facultatifs.

aws cloudtrail update-event-data-store \ --region us-east-1 \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --billing-mode EXTENDABLE_RETENTION_PRICING

Voici un exemple de réponse.

{ "EventDataStoreArn": "event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "management-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 2557, "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00", "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00" }

Mettez à jour le mode de rétention, activez la protection contre le licenciement et spécifiez un AWS KMS key avec AWS CLI

L'exemple de AWS CLI update-event-data-store commande suivant met à jour un magasin de données d'événements afin de porter sa période de conservation à 100 jours et d'activer la protection contre les résiliations. La valeur du paramètre --event-data-store requise est un ARN (ou l’ID de suffixe de l’ARN) et est obligatoire ; les autres paramètres sont facultatifs. Dans cet exemple, le paramètre --retention-period est ajouté pour modifier la période de rétention à 100 jours. Vous pouvez éventuellement choisir d'activer le AWS Key Management Service chiffrement et de spécifier un AWS KMS key en ajoutant --kms-key-id à la commande et en spécifiant un ARN de clé KMS comme valeur. --termination-protection-enabledest ajouté pour activer la protection contre la résiliation sur un magasin de données d'événements pour lequel la protection contre la résiliation n'était pas activée.

Un magasin de données d'événements qui enregistre des événements extérieurs AWS ne peut pas être mis à jour pour enregistrer AWS des événements. De même, un magasin de données d'événements qui enregistre des AWS événements ne peut pas être mis à jour pour enregistrer des événements provenant de l'extérieur AWS.

Note

Si vous réduisez la période de conservation d'une banque de données d'événements, vous CloudTrail supprimerez tous les événements dont la période de conservation est eventTime antérieure à la nouvelle. Par exemple, si la période de conservation précédente était de 365 jours et que vous la réduisez à 100 jours, les événements datant de eventTime plus de 100 jours CloudTrail seront supprimés.

aws cloudtrail update-event-data-store \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \ --retention-period 100 \ --kms-key-id "arn:aws:kms:us-east-1:0123456789:alias/KMS_key_alias" \ --termination-protection-enabled

Voici un exemple de réponse.

{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE", "Name": "my-event-data-store", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Select all S3 data events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ] }, { "Field": "resources.ARN", "StartsWith": [ "arn:aws:s3" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 100, "KmsKeyId": "arn:aws:kms:us-east-1:0123456789:alias/KMS_key_alias", "TerminationProtectionEnabled": true, "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00", "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00" }

Désactivez la protection contre le licenciement à l'aide du AWS CLI

Par défaut, la protection contre la résiliation est activée sur un magasin de données d’événement pour protéger celui-ci contre la suppression accidentelle. Vous ne pouvez pas supprimer un magasin de données d’événement lorsque la protection contre la résiliation est activée. Si vous souhaitez supprimer le magasin de données d’événement, vous devez d’abord désactiver la protection contre la résiliation.

L'exemple de AWS CLI update-event-data-store commande suivant désactive la protection de terminaison en transmettant le --no-termination-protection-enabled paramètre.

aws cloudtrail update-event-data-store \ --region us-east-1 \ --no-termination-protection-enabled \ --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Voici un exemple de réponse.

{ "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "Name": "management-events-eds", "Status": "ENABLED", "AdvancedEventSelectors": [ { "Name": "Default management events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Management" ] } ] } ], "MultiRegionEnabled": true, "OrganizationEnabled": false, "BillingMode": "EXTENDABLE_RETENTION_PRICING", "RetentionPeriod": 366, "TerminationProtectionEnabled": false, "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00", "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00" }

Arrêtez l'ingestion dans un magasin de données d'événements grâce au AWS CLI

L'exemple de AWS CLI stop-event-data-store-ingestion commande suivant empêche un magasin de données d'événements d'ingérer des événements. Pour arrêter l'ingestion, le Status de l'entrepôt de données d'événement doit avoir la valeur ENABLED et eventCategory doit avoir la valeur Management, Data, ou ConfigurationItem. Me magasin de données d’événement est spécifié par --event-data-store, qui accepte un ARN de magasin de données d’événement ou le suffixe d’ID de l’ARN. Après avoir exécuté stop-event-data-store-ingestion, l'état de l'entrepôt de données d'événement passe à STOPPED_INGESTION.

L'entrepôt de données d'événement est pris en compte dans le maximum de dix entrepôts de données d'événement de votre compte lorsque son état est STOPPED_INGESTION.

aws cloudtrail stop-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Il n’y a pas de réponse si l’opération est réussie.

Commencez l'ingestion dans un magasin de données d'événements avec le AWS CLI

L'exemple de AWS CLI start-event-data-store-ingestion commande suivant lance l'ingestion d'événements dans un magasin de données d'événements. Pour démarrer l'ingestion, le Status de l'entrepôt de données d'événement doit avoir la valeur STOPPED_INGESTION et eventCategory doit avoir la valeur Management, Data, ou ConfigurationItem. L'entrepôt de données d'événement est spécifié par --event-data-store, qui accepte un ARN d'entrepôt de données d'événement ou le suffixe d'ID de l'ARN. Après avoir exécuté start-event-data-store-ingestion, l'état de l'entrepôt de données d'événement passe à ENABLED.

aws cloudtrail start-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Il n’y a pas de réponse si l’opération est réussie.

Activer la fédération dans un magasin de données d’événement

Pour activer la fédération, exécutez la commande aws cloudtrail enable-federation en fournissant les paramètres --event-data-store et --role requis. Pour --event-data-store, fournissez l’ARN du magasin de données d’événement (ou le suffixe d’ID de l’ARN). Pour --role, fournissez l’ARN correspondant à votre rôle de fédération. Le rôle doit exister dans votre compte et fournir les autorisations minimales requises.

aws cloudtrail enable-federation --event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id --role arn:aws:iam::account-id:role/federation-role-name

Cet exemple montre comment un administrateur délégué peut activer la fédération sur le magasin de données d’événement d’organisation en spécifiant l’ARN du magasin de données d’événement dans le compte de gestion et l’ARN du rôle de fédération dans le compte administrateur délégué.

aws cloudtrail enable-federation --event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id --role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name

Désactiver la fédération sur un magasin de données d’événement

Pour désactiver la fédération sur le magasin de données d’événement, exécutez la commande aws cloudtrail disable-federation. Le magasin de données d’événement est spécifié par --event-data-store, qui accepte un ARN de magasin de données d’événement ou le suffixe d’ID de l’ARN.

aws cloudtrail disable-federation --event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
Note

S’il s’agit du magasin de données d’événement d’organisation, vous devez utiliser l’ID du compte de gestion.

Supprimer un magasin de données d'événements à l'aide du AWS CLI

L'exemple de commande AWS CLI delete-event-data-store suivant montre comment désactiver le magasin de données d'événement spécifié par --event-data-store, qui accepte un ARN de magasin de données d'événement, ou le suffixe d'ID de l'ARN. Une fois delete-event-data-store exécuté, l’état final du magasin de données d’événement est PENDING_DELETION, et le magasin de données d’événement est automatiquement supprimé après une période d’attente de sept jours.

Une fois delete-event-data-store exécuté sur un magasin de données d’événement, vous ne pouvez pas exécuter list-queries, describe-query ou get-query-results sur les requêtes utilisant le magasin de données désactivé. Le magasin de données d’événement est pris en compte dans le nombre maximum de dix magasins de données d’événement de votre compte lorsqu’il est en attente de suppression.

Note

Vous ne pouvez pas supprimer un magasin de données d’événement si --termination-protection-enabled est défini ou si le paramètre FederationStatus est défini sur ENABLED.

aws cloudtrail delete-event-data-store --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Il n’y a pas de réponse si l’opération est réussie.

Restaurez une banque de données d'événements à l'aide du AWS CLI

L'exemple de commande AWS CLI restore-event-data-store suivant montre comment restaurer un magasin de données d'événement en attente de suppression. Le magasin de données d'événement est spécifié par --event-data-store, qui accepte un ARN de magasin de données d'événement ou le suffixe d'ID de l'ARN. Vous ne pouvez restaurer un magasin de données d'événement supprimé que pendant la période d'attente de sept jours après la suppression.

aws cloudtrail restore-event-data-store --event-data-store EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

La réponse inclut des informations sur le magasin de données d’événements, y compris son ARN, les sélecteurs d’événement avancés et l’état de la restauration.